L’ère Web3, avec ses technologies décentralisées et ses applications basées sur la blockchain, a ouvert de nouvelles opportunités mais aussi de nouveaux défis en matière de sécurité. Parmi ces défis, les attaques qui exploitent la simulation de transactions pour voler des cryptomonnaies sont devenues une menace croissante. Cet article examine en détail ces exploits et les moyens de les prévenir.
Les attaques de simulation de transactions
Les acteurs malveillants utilisent une nouvelle tactique appelée “transaction simulation spoofing” pour voler des cryptomonnaies. Une attaque récente a permis de voler 143,45 Ethereum, soit environ 460 000 dollars.
Cette attaque, repérée par ScamSniffer, met en lumière une faille dans les mécanismes de simulation de transactions utilisés dans les portefeuilles Web3 modernes, censés protéger les utilisateurs contre les transactions frauduleuses et malveillantes.
Flux d’attaque (source : ScamSniffer)
La simulation de transactions est une fonctionnalité qui permet aux utilisateurs de prévisualiser le résultat attendu d’une transaction blockchain avant de la signer et de l’exécuter. Elle est conçue pour améliorer la sécurité et la transparence en aidant les utilisateurs à vérifier ce que fera la transaction, comme le montant de la cryptomonnaie transférée, les frais de gaz et autres coûts de transaction, ainsi que les autres modifications de données sur la chaîne.
-
Phishing et imitation de sites légitimes : Les attaquants attirent les victimes sur un site web malveillant qui imite une plateforme légitime. Ce site lance ce qui semble être une fonction de “réclamation”. La simulation de transaction montre que l’utilisateur recevra une petite somme en ETH.
-
Délai entre simulation et exécution : Un délai entre la simulation et l’exécution permet aux attaquants de modifier l’état du contrat sur la chaîne pour changer ce que fera réellement la transaction si elle est approuvée.
-
Validation par l’utilisateur : La victime, faisant confiance au résultat de la simulation de transaction du portefeuille, signe la transaction, permettant ainsi au site de vider son portefeuille de toute sa crypto et de l’envoyer vers le portefeuille de l’attaquant.
Cas réel
ScamSniffer met en avant un cas réel où la victime a signé la transaction trompeuse 30 secondes après le changement d’état, perdant ainsi tous ses actifs (143,35 ETH).
Simulation initiale (en haut) et transaction manipulée (en bas) (source : ScamSniffer )
“Ce nouveau vecteur d’attaque représente une évolution significative des techniques de phishing,” avertit ScamSniffer. “Plutôt que de se fier à une simple tromperie, les attaquants exploitent désormais les fonctionnalités fiables des portefeuilles que les utilisateurs utilisent pour la sécurité. Cette approche sophistiquée rend la détection particulièrement difficile.”
Analyse de l’attaque récente
Analyse de l’attaque récente (source : ScamSniffer )
Une analyse détaillée de l’incident récent révèle :
-
Le site de phishing a modifié stratégiquement l’état du contrat.
-
La victime a signé la transaction environ 30 secondes après le changement d’état.
-
La fonction de “réclamation” s’est exécutée comme prévu par les attaquants.
-
Le portefeuille entier a été vidé tout en apparaissant légitime dans la simulation.
Prévention et sécurité
La plateforme de surveillance de la blockchain suggère plusieurs mesures pour prévenir ces attaques :
-
Réduction des taux de rafraîchissement des simulations : Les portefeuilles Web3 devraient réduire les taux de rafraîchissement des simulations pour correspondre aux temps de blocage de la blockchain.
-
Rafraîchissement forcé avant les opérations critiques : Forcer le rafraîchissement des résultats de simulation avant les opérations critiques.
-
Ajout d’avertissements d’expiration : Ajouter des avertissements d’expiration pour informer les utilisateurs du risque.
Conseils pour les utilisateurs
Pour les utilisateurs, cette nouvelle attaque montre pourquoi les simulations de portefeuille ne devraient pas être entièrement fiables. Les détenteurs de cryptomonnaies devraient traiter avec prudence les offres de “réclamation gratuite” sur des sites obscurs et ne faire confiance qu’aux applications décentralisées vérifiées
Conclusion
Les attaques de simulation de transactions représentent une menace sérieuse pour le monde de Web3. En comprenant les méthodes utilisées par les attaquants et en mettant en place des mesures de sécurité appropriées, les développeurs et les utilisateurs peuvent mieux se protéger contre ces exploits. La collaboration entre les parties prenantes est essentielle pour garantir la sécurité et la durabilité des systèmes décentralisés.
